SecOps (Güvenlik + Operasyonlar) BT güvenliği ve operasyon ekipleri arasındaki işbirliğini kolaylaştırmak ve sistemleri ve verileri güvende tutmak için kullandıkları teknoloji ve süreçleri entegre etmek için oluşturulmuş bir harekettir. Bu yazıda, günümüzde işletmelerin karşı karşıya olduğu güvenlik sorunlarını ana hatlarıyla açıklıyorum. SecOps'un bunları ele almak için kültürü ve teknolojiyi nasıl kullandığını keşfediyorum ve her kuruluşun güvenlik duruşlarını iyileştirmek için kullanabileceği SecOps en iyi uygulamalarını belirledim.
SecOps'un kökenini anlamak için, ona adını veren harekete bakmak faydalı olacaktır: DevOps. DevOps'a çok benzeyen SecOps, iki ekip arasındaki işlevsiz ilişkilerin sürdürdüğü zorluklara ve risklere yanıt olarak doğdu. DevOps söz konusu olduğunda, geliştirme ve BT operasyonları ekiplerinin öncelikleri ve iletişimi aynı hizaya getirmesi ve yazılımı daha hızlı ve daha güvenilir bir şekilde dağıtmak için entegre otomasyonu kullanması gerekiyordu. Buluşundan bu yana geçen on yıl içinde DevOps geniş çapta benimsenmiştir ve etkisini abartmak zordur. Son on yıldaki yazılım ilerlemelerinin büyük çoğunluğunun bu sayede mümkün olduğunu söylemek yeterli.
DevOps'tan önceki geliştirme ve BT operasyonları arasındaki ilişkiye benzer şekilde, güvenlik ve BT operasyon ekiplerinin çoğu genellikle etkisiz ve yetersiz BT güvenlik önlemlerine yol açan bir işlevsizlik durumunda çalışır. Benzerliklere rağmen SecOps, DevOps çözümleriyle çözülemeyen benzersiz zorluklar sunar. Aslında ve biraz ironik bir şekilde, DevOps güdümlü uygulama dağıtım teknolojisinin yaygınlaşmasının, güvenlik sorunlarını azaltmak değil, bunlara katkıda bulunduğu ve bunları şiddetlendirdiği bilinmektedir.
DevSecOps, geçen yıl önemli bir popülerlik ve ilgi gördü. Nitekim, birkaç düşünce lideri 2020'yi DevSecOps yılı ilan etti. Terim popülerlik kazandıkça, bazen SecOps ile birbirinin yerine kullanılır ve kesinlikle örtüşme olsa da, önemli temel farklılıklar vardır.
Aşağıdaki şemada gösterildiği gibi, DevSecOps, güvenlik uygulamalarını sonradan düşünmek yerine öncelikle yazılım geliştirmeye entegre etmek için icat edildi. Bazı DevSecOps destekçileri, tanıma güvenli altyapının (0. gün) sağlanmasını dahil edecektir. Ancak, en önemli fark DevSecOps'un genellikle devam eden (2. gün) BT sistemi güvenliğini ve optimizasyonunu nasıl atladığıdır.
DevSecOps, güvenliği uygulama geliştirme döngüsüne entegre ederken SecOps, bu uygulamaların ve verilerinin bulunduğu BT sistemleri için güvenliği ve uyumluluğu korur.
SecOps'a duyulan ihtiyaç, muhtemelen en iyi, Gartner araştırmasına göre, 2019'da kötüye kullanılan güvenlik açıklarının% 99'unun, istismar sırasında kuruluş tarafından bilinenler olmaya devam edeceği gerçeğiyle gösterilebilir. Voke tarafından yakın zamanda yapılan bir başka ankette, bir güvenlik ihlali yaşayan şirketlerin% 79'u, bir yama veya yapılandırma değişikliği ile önlenebileceğini belirtti.
Dışarıdan bir gözlemci, bu istatistiklere baktığı ve şirketlerin neden sadece bilinen sorunları düzeltmediğini merak ettiği için affedilebilir. İşte birkaç neden:
Güvenlik ve BT mühendisliği mesleklerinin her ikisinin de büyük yetenek kıtlığı yaşadığı doğru. Ancak sınırsız sayıda yetenekli insan bile günümüzün güvenlik sorunlarını çözemedi. Sistemler çok karmaşık ve suçlular sadece daha hızlı hale geliyor.
Operasyon ekipleri kesinlikle güvenliği önemsiyor ancak yenilik, büyüme ve beş dokuz çalışma süresiyle yönetilen bir dünyada yaşıyorlar. Genellikle onbinlerce bağımsız sistemden oluşan, hızla büyüyen ve gittikçe daha hantal hale gelen ortamları sürdürmekten değil, aynı zamanda bunları işletmeye ve müşterilerine daha fazla değer sunmak için kullanmaktan da sorumludurlar.
Önceliklendirmenin ötesinde, güvenlik ve operasyon ekipleri, ekipler arasında her geçişte bilginin çevrilmesini gerektiren tamamen ayrı araçlar ve iş akışlarıyla çalışır. Bu, kapalı döngü doğrulamayı ve raporlamayı neredeyse imkansız hale getirir.
İş inovasyonları en yüksek hızda ilerlerken, güvenlik acı bir şekilde geride kalıyor. Bu, herhangi bir güvenlik yeniliği olmadığı anlamına gelmez, ancak bunların çoğu, onu güvenli bir şekilde şekillendirmeye yardımcı olacak proaktif çabalar yerine, değişen BT ortamının yarattığı güvenlik açıklarına ve boşluklara tepki göstermiştir.
Bilinen bir güvenlik açığından yararlanma süresi son yıllarda dört kat azaldı: 45 günden 3'e düştü.
SecOps mantrası aldatıcı bir şekilde basittir: güvenlik ve operasyon ekiplerinin birlikte daha iyi çalışmasını sağlayın ve bozuk olduğunu bildikleri şeyleri gerçekten düzeltin. Bu makale, bunu söylemek yapmaktan daha kolay hale getiren güçlüklerden yalnızca birkaçını zaten tanımlamıştır, ancak oraya ulaşmak imkansız değildir - yalnızca güvenlik ve operasyon ekiplerinin etkileşimde bulunma biçimlerini değiştirmesini ve BT güvenliğini sağlayan yeni teknolojileri ve süreçleri uygulamasını gerektirir.